Vai al contenuto principale

Applicare il controllo di accesso a livello di rete con Tenant Restrictions

Aggiornato oltre una settimana fa

Le Restrizioni Tenant sono disponibili per i membri dei piani Enterprise e delle organizzazioni Console.

Le Restrizioni Tenant consentono agli amministratori IT dei piani Enterprise di applicare il controllo di accesso a livello di rete per Claude. Questa funzione garantisce che gli utenti sulle reti aziendali possano accedere solo agli account organizzativi approvati, prevenendo l'uso non autorizzato di account personali.

Come funziona

Quando abilitato, il proxy di rete inietta un'intestazione HTTP nelle richieste a Claude. Anthropic convalida questa intestazione e blocca l'accesso da qualsiasi organizzazione non presente nell'elenco consentito.

Metodi di autenticazione supportati:

  • Accesso web (claude.ai)

  • Accesso Desktop / App

  • Autenticazione tramite chiave API

  • Autenticazione tramite token OAuth

Formato dell'intestazione

anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...

  • Elenco delimitato da virgole di UUID organizzativi

  • Nessuno spazio tra i valori

Esempio:

anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8

Passaggi di configurazione

1. Trovare l'UUID dell'organizzazione

I membri dei piani Enterprise possono trovarlo in due posizioni diverse:

  1. Navigare a Impostazioni > Account e trovare ID Organizzazione.

  2. Navigare a Impostazioni organizzazione > Organizzazione e scorrere fino in fondo alla pagina per individuare ID Organizzazione.

I membri delle organizzazioni Console possono trovarlo in Impostazioni > Organizzazione.

2. Configurare il proxy di rete

Configurare il proxy per iniettare l'intestazione per il traffico Claude:

Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value: 
TLS Inspection: Required

3. Testare la configurazione

Dalla rete ristretta, testare con la chiave API dell'organizzazione:

curl https://api.anthropic.com/v1/messages \
  -H "x-api-key: $CLAUDE_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{"model":"claude-sonnet-4-20250514","max_tokens":1024,"messages":
 [{"role":"user","content":"Hello"}]}'

Risposta di errore

Quando l'accesso è bloccato, gli utenti ricevono il seguente errore:

{
  "type": "error",
  "error": {
    "type": "permission_error",
    "message": "Access restricted by network policy. Contact IT Administrator.",
    "error_code": "tenant_restriction_violation"
  }
}

Piattaforme proxy supportate

  • Zscaler ZIA (Cloud App Control policies)

  • Palo Alto Prisma Access (SaaS App Management)

  • Cato Networks (Tenant Restriction policy)

  • Netskope (Header Insertion rules)

  • Proxy HTTPS generici con capacità di iniezione di intestazioni

Casi d'uso

Scenario

Valore dell'intestazione

Organizzazione singola

<your-org-uuid>

Più organizzazioni (Partner)

<org-uuid-1>,<org-uuid-2>

Vantaggi di sicurezza

  • Prevenzione della perdita di dati: Bloccare l'utilizzo di account personali dalle reti aziendali.

  • Conformità: Applicare i criteri di residenza dei dati e di accesso.

  • Controllo Shadow IT: Prevenire l'utilizzo non autorizzato di Claude.

  • Audit Trail: Visibilità completa sui tentativi di accesso.

Compatibilità all'indietro

  • Nessun impatto sulle reti senza restrizioni tenant configurate.

  • L'autenticazione standard continua per le reti non gestite.

  • L'autenticazione tramite chiave API esistente rimane invariata.

Articoli correlati
Abilitazione e utilizzo del connettore Microsoft 365
Connettore Microsoft 365: Guida alla sicurezza
Configurare l'accesso singolo (SSO)
Accesso al tuo account Console
Accedi ai dati di engagement e adozione con l'API Analytics
Hai ricevuto la risposta alla tua domanda?